|
Description:
|
|
Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.
Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.
Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:
* SAST (инструменты статического анализа)
* SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
* DAST/IAST (инструменты динамического/интерактивного анализа)
* Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
* Инструменты дефект-менеджмента
Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.
Ссылки на ресурсы по темам выпуска:
* Базовые уязвимости OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
* Требования OWASP Application Security Verification Standard (https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#tab=Downloads)
* Как проверять требования (OWASP Testing Guide) (https://github.com/OWASP/OWASP-Testing-Guide-v5)
* (https://continuumsecurity.net/bdd-security/)BDD Security (https://continuumsecurity.net/bdd-security/). Неплохая идея, как можно автоматизировать проверку требований
* BSIMM. Фреймворк для построения процесса SSDL (https://www.bsimm.com/)
* OpenSAMM. Фреймворк для построения процесса SSDL (https://www.opensamm.org/)
* Nexus IQ. Платформа для проверки OpenSource Components (https://www.sonatype.com/nexus-iq-server)
* Checkmarx SAST. Инструмент SAST (https://www.checkmarx.com/products/static-application-security-testing/)
* Appsec Orchestration. Управление и оркестрация процессов SSDL (https://swordfishsecurity.ru/appsechub)
* Бэкдор в event-stream (https://habr.com/post/431360/)
* Несколько открытых проектов с уязвимостями для обучения:
* DVWA (http://www.dvwa.co.uk/)
* Juice Shop (https://www.owasp.org/index.php/OWASP_Juice_Shop_Project)
* iOS (http://damnvulnerableiosapp.com/)
* Android (https://github.com/dineshshetty/Android-InsecureBankv2)
* Гайд для Security Champions (security-champions-playbook) (https://github.com/c0rdis/security-champions-playbook)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon) а так же ретвитом, постом и просто рассказом друзьям! |
.png)
More
Religion & Spirituality
Education
Arts and Design
Health
Fashion & Beauty
Government & Organizations
Kids & family
Music
News & Politics
Science & Medicine
Society & Culture
Sports & Recreation
TV & Film
Technology
Philosophy
Storytelling
Horror and Paranomal
True Crime
Leisure
Travel
Fiction
Crypto
Marketing
History
Comedy
Arts
Games & Hobbies
Business
Motivation